RSA 2010:4大热点话题引导信息安全发展趋势

　　一年一度的安全界顶级盛会RSA会议2010年3月1日开始再度在旧金山MOSCONE中心召开。本次大会上人们的关注点开始向云安全转移，同时越来越多的用户对于数据安全、身份认证产生浓厚的兴趣，通过这一点不难看出，在互联网应用不断扩大化的进程中，人们对于应用安全以及安全托管即服务比较关注，人们的安全意识有了较为明显的提升。

　　随着更全面的安全应用程序和数据库技术的迅猛发展，企业现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而，日渐复杂的安全问题依然有增无减，使得其带来的威胁仍然不容忽视。通过本次大会的议程，比特网总结出4大热点议题，让我们来一同关注一下!

　　如何确保IT消费的可控与安全

　　在本次大会上，有关IT消费趋势的展望以及在安全领域可能出现的其他变化成为了一个重要议题。

　　目前企业CIO们必须了解三个重大变化并对它们进行处理，即，技术的转移，商业预期和安全控制权。这些改变有可能影响安全企业，如果不了解这些变化并采取相应措施，商业利益就会受到负面影响。

　　企业技术的改变速度史无前例。从2008年到2009年，供企业使用的社交网络数量增长了一倍，从11%上升到了22%。数字的激增固然令人激动，可是也同样告诉我们要找出应对的办法。

　　不仅如此，CIO的角色同样在发生变化。CIO较之以前对企业的影响更大。他们不仅要负责安全战略，还要参与商业战略的决策。而这在几年前，是他们想都不敢想的事情。在当今企业安全形势中，最显著的变化是外包导致了安全控制权的更改。希望看到更多的人改变对外包服务的观念。IT基础设施及其安全性已经不再在企业的控制范围内。

　　在本届大会上，针对IT消费的可控与安全性，思科推出了全新的“无边界安全”架构，　思科的产品营销经理凯文•肯尼迪，在概述“无边界安全”时表示，老的架构可以退休了，因为它已经无法满足现在“无边界安全”的需求了。肯尼迪说，思科的总体思路是，结合虚拟专用网络和移动安全的特点，使公司从云到数据中心的一切终端设备上都能够确保安全。

　　“就像SaaS或者移动设备这些东西，对于企业运营来说，很有帮助，但他们都具有很高的风险，并且企业对他们有一定的不可控因素。”肯尼迪说，“现在，对于消费者而言，我们需要一套安全的解决方案，让我们的IT消费能够真正的安全的实现。”

    

　　云安全RSA 2010重要关键词

　　在本次大会上，RSA总裁亚瑟•科维洛先生表示，“有些事情阻碍了云这一愿景的充分实现。简单地说，那就是安全。51%的首席信息官认为安全是云计算最大的顾虑。在当今日益虚拟化和超扩展的企业迈向云的演进中，安全的步伐没有跟上。简而言之，各地的人们必须能够信任云，即使他们不能真正或似乎看到云。”

　　RSA认为，迈向私有云的旅程有四个清晰的阶段：

　　1. 首先，采用虚拟化技术整合非关键基础架构，例如测试和开发系统、低风险应用。它促使企业熟悉虚拟化工具，开始“硬化”虚拟基础架构的过程。

　　2. 虚拟化关键业务应用，确保该组织对虚拟环境的合规状态，保持与物理基础架构同等水平的能见度。

　　3. 开发内部云，将信息基础架构做成一个公共设施，由完全虚拟化、自动化的数据中心构成，应用负载以策略和服务级别来驱动。

　　4. 将基础架构外包给服务提供商。这一阶段，需要仔细挑选，挑选依据是他们在“执行策略、证明合规、管理多租约”方面展示出来的能力。

     

　　身份认证管理不可忽视的领域

　　我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。而今我们也生活在数字世界中，一切信息都是由一组特定的数据表示，当然也包括用户的身份信息。而计算机只能识别用户的数字身份，所以计算机给用户的授权也是针对用户数字身份进行的。保证访问者的数字身份与物理身份相对应，这就是身份认证管理系统所需要解决的问题。

　　在本届大会上，来自各个国家的安全厂商纷纷推出自己全新的身份认证产品，以帮助解决用户的个人隐私问题。

　　微软发布了新版本的身份认证管理套件，这种雏形身份认证系统在德国已经开始实施，它意味着消费者对他们个人隐私数据的全面控制。

　　负责微软可信计算的执行副总裁斯科特•查尼介绍说，“我们将一切数据都迁徙到云端，政府和公民都可以很便捷的获得自己的数据。”这样，政府和公民之间在身份认证管理权限上有了一些平等的权利。对于个人用户而言，完全可以自定义要披露的信息的多少，通过云计算，个人的权力增大了。”

　　此外，在RSA 2010大会上，微软还发布了Forefront Identity Manager 2010，正对大型企业用户，可以很方面的管理企业内的雇员还有访客等等。微软还提供了另外一些有关身份认证的核心组件，比如U盾的密码规范。

     

　　隐私安全引发更多的争议

　　本届RSA安全大会，备受人们关注的还有一个话题，那就是美国政府所发表的NSPD54文件，在这份文件中所涉及的“爱因斯坦”计划，成为了隐私保护者的们最为关切的焦点。

　　在RSA 2010大会的主题演讲上，奥巴马的网络安全协调员施密特•霍华德表示，“我们必须与所有合作伙伴一起，以确保网络安全是安全的。”也正是施密特在发言中宣布的5页总结PDF将会发布。他说，如果没有透明度，“我们不能要求，安全厂商帮助政府共同处理安全问题。”

　　整个文档中有几个值得关注的几个部分，比如有个部分谈到了“联邦政府可以紧急征用公共基础设施”，范围似乎包括互联网，以及电力和电话联系，网络安全。关于入侵防御检测的另一个问题说，“爱因斯坦3.0”将以“任何可能的方式、包括技术支持”来帮助国土安全部保护政府电脑网络。

　　虽然爱因斯坦计划的最初目的是监测(最终阻止)对联邦政府的电子网络攻击，保护关键基础设施。但关于隐私问题的讨论仍然在继续，施密特•霍华德保证，美国公民的隐私是受到的，他说：“政府的有关官员正在密切关注美国国土安全部和美国计算机应急反应小组建设和设计的爱因斯坦3.0计划是否部署得当和有必要的隐私权的保护。”

　　“政府确实有保护网络的需求，但它不应该试图获得重要的基础设施的控制权。”国土安全部成员的数据保密和完整性咨询委员会吉姆•哈珀表示。

　　美国国土安全部发表了爱因斯坦2.0的评估报告，表明它的能力不足以全面保障隐私问题。爱因斯坦3.0的出现将解决这些问题。尽管遭遇了很多隐私问题的困扰，但数名现任和前任官员都说，“爱因斯坦3.0”计划有望更有效地发现恶意活动，在非军事政府网络受损害之前破坏黑客的入侵。